Update 5/11/2020:
Lien vers l'outil de retrait automatique de ces certificats du Windows Certificate Store: Cert Clean Tool (clic-droit: ouvrir dans un nouvel onglet).
Lien vers l'outil de retrait automatique de ces certificats du Windows Certificate Store: Cert Clean Tool MSI (clic-droit: ouvrir dans un nouvel onglet).
Script à exécuter sur MacOS:
#!/bin/bash ## Remove all root signed Belgian root CA's from the keychains, using the default search list security delete-certificate -Z CFFA9C01EC59C29E718D0DD0EF5479F09B51C95780AFB7BD69D3C8054AFE4D28 security delete-certificate -Z F75A4D49A52B043FC7324B8F263AC8A9B7BD22A328868588BDFC937D3C396EB6 security delete-certificate -Z 8460CCAEA91B0E805AB51C7CD46DDF2E8C1C494806D88B1FE2ED313D1D487E2E echo "certclean script completed"
3/11/2020:
En raison d'un changement dans la politique des principaux navigateurs (CA/B-forum), les « Belgium Root CA » 2, 3 et 4 ne seront plus automatiquement pris en compte par le navigateur. Il nous a été donné jusqu'au 6 novembre 16h pour prendre des mesures d'atténuation.
Nous tenons à souligner que ces certificats ne font pas partie de la chaîne de certificats sur l'eID.
Bien que le changement n'ait en principe aucune incidence sur l'utilisation de l'eID, les effets secondaires peuvent dépendre de la configuration de l'utilisateur final et du comportement du navigateur web.
Pour éviter d'éventuels effets secondaires, les certificats suivants doivent être retirés des "certificate stores" du système d'exploitation avec lequel l'utilisateur travaille (Windows et Mac) et du navigateur Firefox (qui fournit son propre "certificate store") :
https://crt.sh/?id=6665598 Belgium Root CA4 -> Cybertrust Global Root, serial #: 04:00:00:00:00:01:41:a1:e1:3d:26
https://crt.sh/?id=4275055 Belgium Root CA3 -> Cybertrust Global Root, serial #: 04:00:00:00:00:01:41:a1:e1:39:3e
https://crt.sh/?id=2999247 Belgium Root CA2 -> Cybertrust Global Root, serial #: 04:00:00:00:00:01:41:a1:e1:34:ba
Pour l’utilisateur final, il suffit d'installer la dernière version du middleware de l'eID, à partir du 5 novembre, et de se connecter à nouveau.
La suppression manuelle des certificats ci-dessus résout également le problème. Si vous utilisez Firefox, cela devra également être fait manuellement dans le Certificate store de Firefox après l'installation de la version la plus récente du middleware.
Pour les entreprises, il est possible que cette nouvelle version du Middleware doive être distribuée par le département ICT.
Si vous avez une application avec authentification eID qui ne passe pas par le Service fédéral d'authentification (FAS), nous vous demandons de vérifier votre application et de prendre des mesures correctives si nécessaire.
Nous travaillons actuellement sur des outils permettant le retrait automatique de ces certificats des « certificate stores » et vous informerons de leur application.